NIS2 – zpracování informací a dat v zahraničí

V současné verzi návrhu Vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby je pouze uvedeno v §1 odst. b) že vyhláška upravuje „informace a data, na která se vztahuje povinnost povinné osoby zajistit jejich zpracování na vymezeném území a tato vymezená území“, dále však v návrhu toto téma není zpracováno. Zda se jedná o opomenutí nebo tato povinnost bude zpracována jiným právním předpisem není v tuto chvíli známo.

( Zdroj https://www.zakonyprolidi.cz/monitor/7704636.htm

https://www.zakonyprolidi.cz/media2/file/2306/File60201.pdf?attachment-filename=7704636-2023-06-19-navrh-provadecich-predpisu-7705207.pdf )

Původní Návrh prováděcí vyhlášky Nového Zákona o Kybernetické Bezpečnosti (NzoKB) v určení bezpečnostních opatření pro poskytovatele regulované služby v režimu vyšších povinností, který NÚKIB předkládal, obsahoval i kapitolu o lokalizaci informací a dat při zpracování v zahraničí.

Omezení zpracování dat v zahraničí je dáno zejména dopadovými kritérii případných kybernetických incidentů.  Dopadová kritéria jsou dána např. možností zranění nebo usmrcení osob, narušení zpracování osobních údajů, poškození diplomatických vztahů, finančními ztrátami, narušením veřejného pořádku nebo narušením schopnosti vyšetřovat trestnou činnost.

Příklady:

Omezení zpracování dat na území ČR je například dáno hrozbou omezení poskytování nezbytných služeb nebo jinému závažnému zásahu do každodenního života postihujícího více než 125 000 osob.

Omezení zpracování dat na území členských států Evropské unie, Evropského sdružení volného obchodu, Organizace Severoatlantické smlouvy nebo Organizace pro ekonomickou spolupráci a rozvoj je například dáno hrozbou omezení, narušení nebo nedostupností služeb pro více než 50 000 osob.

Velmi zjednodušeně podle uvedených příkladů lze tedy říci, že například dodavatel energií pro Jihlavu (cca 50 tis. ob.) by mohl zpracovávat data na území členského státu EU, ale už ne v Asii (mimo Turecka) nebo Africe. Oproti tomu např. dodavatel energií pro Plzeň (cca 180 tis. ob.) už je omezen na zpracování dat pouze v ČR. V obou případech by se jednalo o překročení dopadového kritéria zamezení poskytování služby limitnímu počtu obyvatel.

(Zdroj: https://osveta.nukib.cz/pluginfile.php/58363/course/section/1390/3a_Vyhlaska-o-bezpecnostnich-opatrenich-poskytovatele-regulovane-sluzby-v-rezimu-vyssich-povinnosti.pdf )